Noord-Korea is teruggekeerd naar de krantenkoppen met cyberbeveiliging vanwege zijn banden met de Lazarus Group terwijl het opnieuw een succesvolle cyberoverval uitvoert. Deze keer stal de beruchte Lazarus Group - een zeer vermoedelijke Noord-Koreaanse door de staat gesponsorde hackergroep die tussen 2007 en 2009 werd opgericht - voor 100 miljoen dollar aan Harmony-cryptocurrency.
Geloof het of niet, dit is niet de beroemdste overval van deze mysterieuze groep, aangezien het al betrokken is geweest bij aanvallen op Sony en virussen zoals WannaCry. Dus waarom is de Lazarus Group zo succesvol? Laten we het hieronder uitzoeken.
De Lazarus-groep: hoe gevaarlijk is het?
Computerbeveiliging is de laatste jaren een van de meest controversiële gebieden aan het worden. We hebben steeds meer apparaten aangesloten, maar we hebben er weinig om gegeven om ze te beschermen. En het gebeurt niet alleen bij gebruikers, maar ook bij bedrijven. Daarom worden aanvallen steeds frequenter en krachtiger.
Onder organisaties die bedrijven aanvallen, heeft de naam Lazarus (soms aangeduid als DarkSeoul, Guardians of Peace en Hidden Cobra) een bijzondere bekendheid verworven onder hackers.
Deze mysterieuze groep hackers zit achter enkele van de meest succesvolle en destructieve computeraanvallen van de afgelopen jaren. Het Britse National Cyber Security Centre (NCSC), de NSA en de FBI plaatsen deze groep hoog op de lijst van gevaarlijke entiteiten voor de nationale veiligheid. En wat er weinig over hen bekend is, is dat de leden waarschijnlijk gevestigd zijn in Noord-Korea, het meest geïsoleerde land ter wereld.
Wat zijn enkele van de meest beruchte aanvallen van de Lazarus-groep?
De eerste aanval stond bekend als 'Operatie Vlam'. Het werd uitgevoerd in 2007 en gebruikte malware van de eerste generatie tegen de Zuid-Koreaanse overheid. Daarna volgde "Operatie Troy", die tussen 2009 en 2012 plaatsvond. Deze twee aanvallen waren eenvoudig van complexiteit; de groep haalde Zuid-Koreaanse overheidswebsites uit de lucht door hun servers te overspoelen met verzoeken.
In maart 2011 lanceerde de groep "Ten Days of Rain", wat een geavanceerder bleek te zijn DDoS-aanval dat gericht was op media, financiële en kritieke infrastructuur in Zuid-Korea. Kritieke infrastructuur is altijd een favoriet doelwit geweest voor hackers vanwege het belang ervan voor dagelijkse activiteiten.
De Sony Pictures-aanval
De beruchte aanval op Sony Pictures kwam in 2014, die de groep op het wereldtoneel bracht. Deze aanval werd een tijdlang beschouwd als een van de grootste in de geschiedenis van cybercriminaliteit.
Tijdens de aanval heeft de Lazarus Group vertrouwelijke informatie van het bedrijf gestolen, vertrouwelijke correspondentie tussen de niveaus van regie, productie en acteren, en zelfs uitgelekt onuitgebrachte films. De aanvallen werden gelanceerd als vergelding voor de release van de film "The Interview", waarin Kim Jong-un op een dwaze manier wordt geportretteerd.
Aanvallen op banken en cryptovaluta
In 2015 begon de Lazarus Group ook banken wereldwijd aan te vallen, waaronder Ecuador en Vietnam. Dit waren de Banco del Austro en de Tien Phong Bank. Daarnaast heeft het ook geprobeerd banken in Polen, Chili en Mexico aan te vallen. In 2016 werden de bankaanvallen van de groep geavanceerder en wisten ze zelfs 81 miljoen dollar te stelen van de Bank of Bangladesh. In 2017 probeerde het ook 60 miljoen dollar te stelen van een Taiwanese bank.
Nu richt de Lazarus Group zich op cryptocurrency-aanvallen. De meest prominente aanval trof Zuid-Koreaanse eigenaren van Bitcoin en Monero; daarom koos de groep er nu voor om Harmony-cryptocurrency te stelen.
Bestaat de Lazarus-groep uit Noord-Koreaanse hackers?
Hoewel het nooit is bewezen, zoals bij de meeste cyberaanvallen, hebben experts er alle vertrouwen in dat de groep opereert met financiële steun en verzoek van de Noord-Koreaanse regering. Dit zou de aanvallen van Sony Pictures en de constante fixatie op aanvallen op de Zuid-Koreaanse infrastructuur en instellingen verklaren.
De waarheid is dat we heel weinig over de groep weten. Het is niet bekend of dit Noord-Koreaans is cybersoldaten of gewoon internationale hackers die Noord-Korea heeft ingehuurd; in ieder geval is de identiteit van de leden van de groep anoniem, hoewel één ding zeker is, ze werken als een zeer effectief team.
Er is zelfs een theorie dat de groep niets te maken heeft met Noord-Korea en dat dat gewoon een manier is om de aandacht af te leiden van zijn natuurlijke oorsprong. Het is in ieder geval onwaarschijnlijk dat de VS en het VK Noord-Korea de schuld hebben gegeven van de acties van de groep in het verleden.
Hoe valt de Lazarus-groep aan?
De aanvallen van Lazarus Group zijn van grof naar geavanceerd gegaan, van aanvallen en schade aanrichten tot het maximale uit elke actie halen. Hoewel de groep op een zeer amateuristische manier begon tegen Zuid-Korea, is het een zeer professionele en gevaarlijke organisatie geworden met meer specifieke monetaire doelstellingen.
De NSA, FBI en zelfs het Russische cyberbeveiligingsbedrijf Kaspersky Labs hebben de financiële aanvallen en werkwijze van de groep onderzocht. De hackers compromitteren meestal een enkel systeem binnen een bank van waaruit ze de hele organisatie infiltreren.
Na de eerste infectie heeft de groep vervolgens enkele weken onderzoek gedaan naar de doelsystemen, een standaardtactiek in cyberoorlogvoering (de USCYBERCOM werkt op dezelfde manier). Toen de groep eenmaal de doelorganisatie perfect in kaart had gebracht en voldoende gegevens had verzameld, begon het geld te stelen.
Hoewel de bankaanvallen van de groep het meest berucht zijn, vallen de hackers ook casino's, cryptocurrency-bedrijven en investeringsmaatschappijen aan. Enkele van de favoriete doellanden zijn Zuid-Korea, Mexico, Costa Rica, Brazilië, Uruguay, Chili, Polen, India en Thailand.
Als gevolg van hongersnoden, sancties en mislukt economisch beleid is de munteenheid van Noord-Korea de afgelopen decennia voortdurend gedaald. Terwijl Kim Jong-il (de vader van de huidige leider, Kim Jong-un) zich concentreerde op het vasthouden van de wereld voor losgeld door middel van aanvallen en bedreigingen voor internationale hulp te verwerven en sancties te verlichten, gaf zijn zoon er de voorkeur aan het Noord-Koreaanse leger en de bevolking om te leiden om inkomsten te genereren uit Buitenland.
Dit helpt Noord-Korea buitenlandse valuta te verwerven om zijn onderzoek en ontwikkeling op het gebied van leger en massavernietigingswapens te ondersteunen en, in zekere zin, zijn valuta en economie te versterken. Er zijn veel manieren waarop Kim Jong-un inkomsten uit het buitenland genereert; hij verhuurt bijvoorbeeld Noord-Koreanen als goedkope arbeidskrachten, stuurt dokters en militaire adviseurs naar het buitenland voor een prijs, verkoopt wapens en gebruikt hackers om geld te stelen.
Aanvankelijk deed het Noord-Koreaanse hackersleger (zoals de groep wel eens wordt genoemd) vooral ontwrichtende operaties tegen staatsvijanden. Maar toen Kim Jong-il in 2011 stierf, veranderde Kim Jong-un het beleid, en nu richtten hackers zich vooral op het beroven van banken en het creëren van ransomware-virussen. Dat is de reden waarom de Lazarus-groep tot 2011 nog steeds de Zuid-Koreaanse overheidssites en -infrastructuur aanviel.
Zou dit nog maar het begin kunnen zijn?
De Lazarus Group is getransformeerd van een amateurgroep naar een goed gefinancierde en capabele, door de staat gesponsorde hackgroep. Sinds de oprichting zijn de aanvallen van de groep alleen maar verwoestender en complexer geworden, en tot nu toe heeft niemand ze kunnen vervolgen. Zonder repercussies en bescherming door de Noord-Koreaanse staat, lijkt het erop dat deze groep alleen maar het potentieel heeft om te groeien en nog gevaarlijker te worden, maar de tijd zal het leren.